2011年02月06日

さくらのVPSを試しに申し込む　→　Ubuntu 10.04 LTS i386 に入れ替え　→　sshd を public-key 認証にしてポートそのままで起動　→　一日で１万回弱の攻撃！

９ヶ所くらいのIPから攻撃されたらしい．

攻撃されたユーザ名は1400通りくらい．admin のバリエーションが微妙に面白く，admin0, admin1, admin12, admin123, admin1234, admin2, admin3, admin321, admin4, admin5, admin6, admin7, admin8, admin9, admina, admine とか．admin321 が攻撃対象になっているあたりが面白い．同様に backup も 0 から 9 まで揃ってた．そして大抵は英語名なのだけど，ほんの少し日本語名も入っていて，matsuokaとかどこから辞書に入ったのやらと思う．そして tanaka はあったが sato と suzuki は今のところ無かった．

攻撃元のIPから国を調べてみると，タイが４つ，チリが１つ，韓国２つ，日本が２つ．このなかでも日本の２つは他のさくらのVPSのサーバだったりする．攻撃されて bot に感染したのだろうか？

さて，これ以上通常ポート使ってても面白いことなさそうだからさっさとポートを変えてしまおう．